ip如何与mac地址绑定

2023年11月27日发(作者：)一、ip如何与mac地址绑定,有人乱改ip,还有arp攻击,烦的啊！995！

有200来台机器上网,例如网关路由10.0.1.1 然后往下分线 分到各个电脑 我来手动分配ip给他们，除了电脑，往下分的还有路由，就是路由下接路由，例如路由10.0.1.1下再接个路由10.0.1.10--然后下面接了N台，那我也不管了。我都记录下来 谁谁谁ip多少，和他们说不要动ip啊！可是他们总是乱改，单独的电脑改，那个分路由器他们也进去把设置改了，可恶阿。

请问我如何做才能稍微好一点，稍微防住他们就行了

我总是听说双绑，但是我想在他们机器上动是不可能的了，到他们下面的机器以及分路由 查看mac地址 是可以的 。就是说我能不能在总路由器设置下什么 就可以了，就是ip与下面的各mac地址绑定就好了吗？



答：在你的网络中添加一台DHCP服务器，WINDOWS2003自带这功能。

在服务器端使用“ARP”命令捆绑IP地址和MAC地址。但这种方法对规模稍大的网络就不适用了，这些网络中的计算机数量较多，手工指定IP地址是不现实的，通常是使用DHCP服务器动态分配IP地址。因此使用“ARP”命令进行绑定是无法实现的。其实DHCP服务器也集成了IP地址和MAC地址绑定功能

1.查找客户机MAC地址

可以使用局域网助手等工具或在客户端使用ipconfig /all命令

2.新建保留

在DHCP服务器端，打开DHCP管理器，展开作用域，右键点击“保留”选项，在弹出的菜单中选择“新建保留”，弹出配置对话框。在该配置对话框中为客户机绑定IP地址和MAC地址，在“保留名称”栏中为该保留项目取名，可以使用计算机名，然后在“IP地址”栏中输入“192.168.0.8”，“MAC地址”栏中输入客户机的网卡MAC地址“00-0E-A6-0C-DE-B9”，接着在“支持类型”中选择“两者”选项，最后点击“添加”按钮，即可完成客户机的IP地址和MAC地址绑定。

使用这种方法可以免除手动分配ip的麻烦，对于网吧等使用RouterOS的地方，还可以在RouteOS里再绑定一下IP地址和MAC地址，就可以消灭arp欺骗攻击了。网克的时候也不用改ip了。





二、怎么在自己的机子上绑定IP-mac地址 以防止ARP的攻击

答：在电脑“开始”-“运行”中，输入 cmd 回车，进入命令提示符界面

再使用“arp -s IP地址 MAC地址”命令绑定

例：arp -s 192.168.1.1 00-15-29-6b-0c-f1





三、有关ARP攻击和IP MAC绑定 防止掉线问题

我们是4个人共用一跟网线。最近经常掉线。有时间说是网线被拔出，可一会就自动连接上。有时显示连接上以后还是不能开网页。

在网上看了好多同类的问题回答说：绑定IP MAC 可以解决这些问题。能说 下详细的绑定步骤么？装的有ARP

防火墙。上面有时候会提示有外部IP冲突攻击，被拦截。接受ARP广播总数后 显示也有一部分被拦截。

答：

绑定Mac要先查出各个电脑的mac地址。方法一是查从每台电脑的网络连接查看（单击右下角的本地连接图标，进入本地连接－状态，转到支持－高级，里面的实际地址就是）；方法二是登录路由器的设置界面，查看客户端列表，里面显示着当前连接的每个电脑网卡的mac，记下来.然后在安全设置选项里打开mac地址过滤窗口，把得到的每个电脑mac添加后确认生效，并在防火墙选项里打开路由器的防火墙总开关并开启mac地址过滤, 保存后即生效。

设置完后路由器可能要自动重启，可以再登录上去看看你设置后的窗口变化，一般设置窗口都有说明，仔细看看就不会错了。

我的路由器是tplink402m，其它的路由器大同小异，在相就窗口看下提示就行了。





四、怎样绑定本机IP地址与网卡MAC地址



1、首先要查看自己的IP地址和网卡的MAC地址。对于Windows 98/Me，执行Winipcfg，在对话框看到的IP地址就是要查的IP地址，而“适配器地址”就是网卡的MAC地址。在Windows 2000/XP系统下，要在命令提示符下输入“ipconfig /all”，显示列表中的“Physical Address”就是MAC地址，“IP Address”就是IP地址。要将二者绑定，输入“arp -s IP地址 MAC地址”，如“arp -s 192.168.0.78 54-44-4B-B7-37-21”即可。

2、、cmd-----ipconfig-----找到你的网卡地址（一般六组，每组2位的，一个字母数字序列）（mac地址）

然后使用

ARP -s IP地址 MAC地址，即可把MAC地址和IP地址捆绑在一起

arp命令介绍：

ARP命令针对静态IP地址，如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的各参数的功能如下：

ARP -s -d -a

-s：将相应的IP地址与物理地址的捆绑。

-d：删除相应的IP地址与物理地址的捆绑。

-a：通过查询ARP协议表显示IP地址和对应物理地址情况

3、开始-设置-网络连接

选择你要设置的连接：属性—配置—高级—network address— 值 中填入你所想要设置的mac值。

OK 搞定！！





五、批处理如何获得本机的IP和MAC地址然后进行绑定?

答案一：

@echo off

:::::::::读取本机Mac地址

if exist del

ipconfig /all >

if exist del

find "Physical Address" >

for /f "skip=2 tokens=12" %%M in () do set ip=%%M

:::::::::读取本机ip地址

if exist del

find "IP Address" >

for /f "skip=2 tokens=15" %%I in () do set mac=%%I

:::::::::绑定本机IP地址和MAC地址

arp -s %IP% %Mac%

del *.txt

exit




答案二：

来个不生成临时文件的更简洁的代码：

@echo off

for /f "tokens=1* delims=:" %%i in ('ipconfig /all^|find /i "Physical Address"') do set mac=%%j

for /f "tokens=1* delims=:" %%i in ('ipconfig /all^|find /i "IP Address"') do set ip=%%j

arp -s %ip:~1% %Mac:~1%



答案三：

@echo off&setlocal enabledelayedexpansion

for /f "tokens=1* delims=:" %%a in ('ipconfig/all^|findstr /i /c:"IP Address" /c:"Physical Address"^|sort') do set bb=!bb!%%b

arp -s%bb%





答案四：

我对网卡绑定不太了解, 不过楼上几位的代码都有问题... ipconfig /all有两个ip和两个mac地址. 不知楼主绑定的ip是内网ip还是外网呢?

@echo off

setlocal enabledelayedexpansion

set ipfilter=0

set macfilter=0

for /f "tokens=2* delims=:" %%a in ('ipconfig /all ^| find "IP Address"') do (

for /f "tokens=2* delims=:" %%i in ('ipconfig /all ^| find "Physical Address"') do (

set iptemp=%%a

set mactemp=%%i

if "!ipfilter!"=="0" set ip=!iptemp:~1!

if "!macfilter!"=="0" set mac=!mactemp:~1!

set /a ipfilter=!ipfilter!+1

set /a macfilter=!macfilter!+1

)

)

arp -s %ip% %mac%



可以指定绑定网卡为内网或外网.

这段代码为绑定内网IP

if "!ipfilter!"=="0" set ip=!iptemp:~1!

把上面一句改为

if "!ipfilter!"=="2" set ip=!iptemp:~1!

则绑定外网ip





七、网管交换机IP-MAC-端口绑定的方法维护经验



telnet 192.168.10.10 “在telnet的交换机IP，操作计算机IP应在同一网段”

password: "输入交换机的登录口令，屏幕无显示"

jnyz01>en "en命令是进入管理模式吧？"

password: "输入管理口令"

jnyz01#conf "conf"

jnyz01#arp 192.168.1.1 010a.020b.030c arpa f 0/22 "将IP(192.168.1.1)-MAC (010a.020b.030c)-端口(F即RJ45口的本机第22端口绑定)"



（下一条绑定语句，如有命令模板，可直接复制命令文本后，右键运行）



jnyz01#exit "全部设置完成后退出设置"

jnyz01>wr "将本次修改进行保存"

jnyz01>exit "退出telnet（或直接关闭telnet窗口）"





八、关于IP-MAC绑定的交换机设置



注：IP地址和MAC地址的关系： IP地址是根据目前的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。而 MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，和硬件有关系，比较难于记忆，长度为6个字节。

? 虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

? ARP协议是用来向对

方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的?ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。一台计算机和另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

? 在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。??（转载注明出处n et130）

为什么要绑定MAC和IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，能将内部网络的IP地址和MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，能根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，非常多单位的内部网络，都采用了MAC地址和IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是相同的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。



1.方案1??基于端口的MAC地址绑定



思科2950交换机为例，登录进入交换机，输入管理口令进入设置模式，敲入命令：

Switch#config terminal

＃进入设置模式

Switch(config)# Interface fastethernet 0/1

＃进入具体端口设置模式

Switch(config-if)#Switchport port-secruity

＃设置端口安全模式

Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)

＃设置该端口要绑定的主机的MAC地址

Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)

＃删除绑定主机的MAC地址

注意：

以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机能使用网络，如果对该主机的网卡进行了更换或其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。







注意：

以上功能适用于思科2950、3550、4500、6500系列交换机

2.方案2??基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10?

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机能访问任意主机

Switch(config)permit any host 0009.6bc4.d4bf

＃定义

所有主机能访问MAC地址为0009.6bc4.d4bf的主机

Switch(config-if )interface Fa0/20

#进入设置具体端口的模式

Switch(config-if )mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

此功能和应用一大体相同，但他是基于端口做的MAC地址访问控制列表限制，能限定特定源MAC地址和目的地址范围。

注意：

以上功能在思科2950、3550、4500、6500系列交换机上能实现，不过需要注意的是2950、3550需要交换机运行增强的软件映像（Enhanced Image）。

3.方案3??IP地址的MAC地址绑定



只能将应用1或2和基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。?? （转载注明出处n et130）?



Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机能访问任意主机

Switch(config)permit any host 0009.6bc4.d4bf

＃定义所有主机能访问MAC地址为0009.6bc4.d4bf的主机

Switch(config)Ip access-list extended IP10

＃定义一个IP地址访问控制列表并且命名该列表名为IP10

Switch(config)Permit 192.168.0.1 0.0.0.0 any

＃定义IP地址为192.168.0.1的主机能访问任意主机

Permit any 192.168.0.1 0.0.0.0

＃定义所有主机能访问IP地址为192.168.0.1的主机

Switch(config-if )interface Fa0/20

#进入设置具体端口的模式

Switch(config-if )mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config-if )Ip access-group IP10 in

＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

Switch(config)no Ip access-group IP10 in 中国.网管联盟

＃清除名为IP10的访问列表

上述所提到的应用1是基于主机MAC地址和交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体相同。如果要做到IP和MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2和IP访问控制列表结合起来使用以达到自己想要的效果。

注意：以上功能在思科2950、3550、4500、6500系列交换机上能实现，不过需要注意的是2950、3550需要交换机运行增强的软件映像（Enhanced Image）。

后注：从表面上看来，绑定MAC地址和IP地址能防止内部IP地址被盗用，但实际上由于各层协议及网卡驱动等实现技术，MAC地址和IP地址的绑定存在非常大的缺陷，并不能真正防止内部IP地址被盗用。